Schleiern und schlüsseln

Apropos wp-content: Alle Erweiterungen, Dateiablagen und Themes legt Wordpress gewöhnlich im Ordner wp-content ab. Oft schleusen aber Themes und Plugins eine Sicherheitslücke in das System. Seit Version 2.6 dürfen Sie diesem Ordner daher einen willkürlichen Namen geben und ihn an einer anderen Stelle ablegen. Eine Neuinstallation erledigt das einfach und schnell. Allerdings kann dieser Schritt zu Problemen mit Plugins oder Themes führen, da nicht alle Autoren den Pfad mit Hilfe der von Wordpress bereitgestellten Konstanten und Funktionen abfragen. Um den Ordner neu zu definieren, ändern Sie einfach ein paar Konstanten in der Datei wp-config.php, wie es Listing 1 zeigt.

Listing 1
define('WP_CONTENT_DIR', ABSPATH . 'test'); // wp-content Verzeichnis
define('WP_CONTENT_URL', 'http://example.com/test'); // wp-content URL
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins'); // Plugin-Verzeichnis

Seit Version 2.6 von Wordpress gibt es eine neue Möglichkeit, das Backend abzusichern: über den Zugriff via SSL. Die Abkürzung steht für Secure Sockets Layer, dabei handelt es sich um ein Verschlüsselungsprotokoll zur Übertragung von Daten. Unterstützt Ihr Webspace diese Möglichkeit, bedarf es nur einer kleinen Aktivierung in der wp-config.php, um SSL zu aktivieren. Setzen Sie die Konstante FORCE_SSL_LOGIN auf true, überträgt Wordpress von nun an alle Daten im Backend verschlüsselt.

Bestehende Installationen

Bisher haben Sie erfahren, wie Sie eine neue Installation schützen, indem Sie Angreifern den Zugriff auf die Standards erschweren. Aber auch bestehende Blogs sichern Sie mit einigen Handgriffen ab – ganz ohne den Einsatz von Sicherheitsplugins.

Der Benutzername der Standardinstallation lautet wenig einfallsreich admin – wie jedermann weiß. Nach einer Installation sollten Sie diesen Nutzer löschen und einen neuen Administrator anlegen. Das erledigen Sie einfach im Administrationsbereich, tunlichst bereits nach dem ersten Login. Damit ändern Sie nicht nur den Nutzernamen, sondern auch die zugehörige ID, die Wordpress automatisch vergibt – zwei Komponenten, die Angreifern andernfalls das Leben erleichtern.

Möchten Sie sehr große Werte für die ID verwenden, erweisen sich händische Änderungen im Backend als sehr aufwändig. Wordpress zählt bei jedem neuen Nutzer schlicht um Eins hoch. Besser ändern Sie diesen Wert mit einem SQL-Statement wie in Listing 2. Alternativ setzen Sie das Plugin Suchen & Ersetzen[3] ein.

Listing 2
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;

Seine Versionsnummer gibt Wordpress an vielen Stellen aus – im Backend, in den Feeds und im Theme. Jede Version hat spezifische Eigenarten und Fehler, daher sollten Sie Fremden keine Informationen über Ihre Wordpress-Installation geben. Die einfachste Form, die Version aus allen Bereichen zu entfernen, stellt die Nutzung des Plugins Secure WordPress[2] dar. Lediglich das Backend muss die Versionsnummer kennen, weil neben Wordpress selbst auch einige Plugins diese Information benötigen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 02/2018: PAKETE VERWALTEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 0 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...
sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 2 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...